Độ Mixi bị hack kênh YouTube: Mật khẩu mạnh, bật 2FA vẫn “toang”?

Mới đây, vụ việc Độ Mixi bị hack mất kênh Youtube đã thu hút sự quan tâm đông đảo từ nhiều người hâm mộ. Cụ thể, vào sáng ngày 2/4, Youtuber Độ Mixi (tên thật là Phùng Thanh Độ) cho biết kênh YouTube của anh đã bị tấn công. Hiện kênh YouTube của anh có 7.33 triệu người theo dõi và bị ấn toàn bộ video, thay ảnh đại diện và banner thành hình ảnh liên quan đến đồng tiền số Ripple.

Mật khẩu mạnh, bảo mật 2FA liệu có đủ?

Đối với các YouTuber nổi tiếng như Độ Mixi, việc bảo mật tài khoản là một vấn đề quan trọng. Hơn nữa, việc kích hoạt tính năng bảo mật hai lớp (2FA) cũng được đảm bảo. Điều này không chỉ áp dụng cho các tài khoản nổi tiếng như của Độ Mixi, mà còn là một yêu cầu bảo mật mà Google đòi hỏi tất cả người dùng phải trang bị.

Thực tế, Độ Mixi không phải là YouTuber đầu tiên ở Việt Nam bị hack kênh YouTube để phát trực tiếp về tiền ảo. Trước đó, đã có nhiều kênh YouTube như FapTV, Trấn Thành, Lynk Lee, Hồ Quang Hiếu, Phúc Du, Lý Hải… đã gặp phải tình trạng tương tự. Danh sách này còn bao gồm các kênh YouTube chuyên về công nghệ, với những người đứng đầu có kiến thức chuyên sâu về kỹ thuật và bảo mật.

Lý do vì sao mà những YouTuber này lại bị hack?

Mặc dù chưa có thông tin xác nhận chính thức từ phía streamer Độ Mixi, nhưng dựa trên các vụ tấn công trước đó, có thể khẳng định rằng hacker có khả năng “đột nhập” vào tài khoản YouTube mà không cần mật khẩu. Do đó, dù mật khẩu có mạnh đến đâu, hoặc thậm chí có kích hoạt tính năng 2FA, thì những tính năng bảo mật này vẫn dễ dàng “vượt mặt”.

Thay vì lấy cắp mật khẩu, các hacker hiện tại đang chuyển sang đánh cắp “session” (phiên làm việc). Để giải thích một cách dễ hiểu, nếu bạn đã đăng nhập vào tài khoản YouTube của mình, ngay cả khi bạn đóng trình duyệt hoặc thậm chí tắt toàn bộ máy tính, vài ngày sau bạn vẫn có thể truy cập YouTube mà không cần phải đăng nhập lại bởi vì “phiên làm việc” vẫn còn hiệu lực.

Những session này thường được lưu trữ trong các tệp cookie, một tệp tin được quản lý bởi trình duyệt. Đây chính là mục tiêu mà các hacker nhắm đến. Khi có được các session này, hacker sẽ dễ dàng truy cập vào kênh YouTube mà không cần mật khẩu hay các bước xác thực. Vậy làm sao các hacker có thể đánh cắp session?

Phương pháp phổ biến nhất hiện nay là tạo ra các mã độc, giả dạng nội dung khác để lừa quản lý kênh YouTube kích hoạt. Có nhiều cách để phân phối mã độc, như ẩn trong các phần mềm crack, hack game. Nhưng một phương pháp dễ đánh lừa nhất đối với các YouTuber là thông qua hợp đồng quảng cáo.

Giả danh là một nhãn hàng và đang mong muốn hợp tác quảng cáo với YouTuber, hacker sẽ gửi email kèm theo một tệp tin báo giá/hợp đồng hoặc điều khoản và mời YouTuber mở ra để xem thêm thông tin.

Tệp tin đính kèm này được thiết kế để lừa đảo người dùng, với định dạng giả mạo của một tệp tin văn bản (thường là Word/PDF). Trong một số trường hợp, các tệp tin này có thể có “đuôi ảo” (như .docx/.pdf), nhưng thực tế là đuôi thực thi của các tệp tin là .exe/.scr/.msi…

Ví dụ như “hopdong.docx.exe”. Theo thiết lập mặc định, Windows sẽ ẩn đuôi tệp tin, vì vậy những gì người dùng thấy trên màn hình Desktop hoặc Windows Explorer chỉ là “hopdong” hoặc “hopdong.docx”.

Để qua mặt các trình diệt virus, các hacker đã sử dụng nhiều phương pháp khác nhau. Đầu tiên, toàn bộ nội dung được đặt trong một tệp tin nén (zip/rar) và được bảo vệ bằng mật khẩu để dịch vụ email không thể quét được.

Tiếp theo, tệp tin thực thi (chứa mã độc) sẽ được “đệm” bằng nhiều nội dung rỗng để tăng kích thước lên hàng trăm MB. Bởi theo thiết lập mặc định, một số phần mềm diệt virus không quét các tệp tin có dung lượng quá lớn để tránh làm ảnh hưởng đến hiệu suất của máy tính.

Một số dịch vụ quét virus trực tuyến như VirusTotal cũng chỉ cho phép tải lên tệp tin có kích thước tối đa 650MB, do đó mức 700-750MB được coi là “con số lý tưởng” đối với các hình thức tấn công như vậy. Theo thử nghiệm của PC Security Channel, sau khi loại bỏ các đoạn mã dư thừa, tệp tin exe đã giảm dung lượng từ 750MB xuống chỉ còn hơn 142KB.

Bên cạnh đó, một phương pháp mới đã được phát hiện, đó là ẩn mã độc trong tệp tin cài đặt (.msi), thường được quảng cáo như là các file crack hoặc hack game. Những tệp tin .msi này được xử lý bởi trình cài đặt Windows Installer, một công cụ chính thức của Microsoft đi kèm với Windows, do đó chúng không bị các chương trình diệt virus phát hiện.

Khi mã độc đã được thực thi, việc ăn cắp thông tin cookies và gửi cho hacker chỉ diễn ra trong tích tắc. Đặc biệt những mã độc này thường được thiết kế để tự hủy sau khi đánh cắp thông tin thành công, nhằm tránh sự nghi ngờ từ phía người dùng.

Tổng kết

Tóm lại, vụ việc streamer Độ Mixi bị hack kênh YouTube là lời cảnh tỉnh cho tất cả người dùng, đặc biệt là những người có tài khoản mạng xã hội quan trọng với nhiều người theo dõi. Việc bảo mật tài khoản bằng mật khẩu mạnh và 2FA là cần thiết, nhưng không phải là an toàn 100%. Đặc biệt, người dùng cũng cần cẩn trọng với các email lạ, đặc biệt là những email có tệp tin đính kèm.